SSD Forensik

Das Problem Garbage CollectionSecurity Forum 2015

www.pwc.com

PwC

Agenda

2

Security Forum 2015

1 Grundlagen

SSD Grundlagen

HDD Imaging

Garbage Collection & TRIM

Verschlüsselung

Secure Erase

Ansätze

3 Zusammenfassung

2 Problemfelder

Statistiken

Zusammenfassung

AusblickSSD Forensik

PwC

Grundlagen

SSD Grundlagen

HDD Imaging

3

Security Forum 2015SSD Forensik

PwC

SSD GrundlagenFunktionsweise - Controller

• Schnittstelle Betriebssystem <-> Flash Chips

• Ausführung von Firmware

Wear Leveling

Garbage Collection

Komprimierung

Verschlüsselung

…

SSD Forensik

4

Security Forum 2015

SSD

Controller

Chip Chip Chip Chip

Chip Chip Chip Chip

OS

PwC

SSD GrundlagenFunktionsweise – Flash Chips

• Datenspeicher

• Unterteilung

Cells

Pages

Blocks

Planes

SSD Forensik

5

Security Forum 2015

Block 2

Block 3

… … …

… …Block

n

CellsPage

2Page

3

… … …

… …Page

n

Plane

PwC

SSD GrundlagenDaten schreiben & modifizieren

• Speicherbereich muss leer sein

• Wear Leveling

Gleichmäßige Auslastung

Controller entscheidet Verwendung

• Over Provisioning

Reservespeicher

Nicht frei verfügbar

Verwendet für SSD Funktionen und als Ersatzspeicher

• Vergleich HDD

Speicherbereich muss nicht leer sein

Direktes Überschreiben von unbenutztem SpeicherSSD Forensik

6

Security Forum 2015

PwC

HDD Imaging

SSD Forensik

7

Security Forum 2015

PwC

SSD GrundlagenDaten löschen

• TRIM-Command

OS informiert Controller über gelöschte Datei

SSD-Controller kann Daten sofort löschen

• Garbage Collection

Keine sofortige Information über gelöschte Dateien

Bereinigung unbenutzter Bereiche

• Vergleich HDD

Alte Dateien bleiben bestehen

Eintrag in File Table wird gelöscht

SSD Forensik

8

Security Forum 2015

PwC

Problemfelder & Ansätze

Garbage Collection

TRIM Command

Verschlüsselung

Secure Erase

Ansätze

9

Security Forum 2015SSD Forensik

PwC

Garbage CollectionFunktionsweise & Auswirkungen

• Funktionsweise

Bereinigung unbenutzter Blöcke

Abhängig von Implementierung

Einfluss durch SSD-Auslastung

• Auswirkungen

Nicht zwingend vollständige Löschung

Datenwiederherstellung oft noch möglich

SSD Forensik

10

Security Forum 2015

GC GC GC GC

GC GC

GC GC GC GC

GC GC

GC GC GC GC

GC GC GC GC}

PwC

Garbage CollectionFunktionsweise & Auswirkungen

• Funktionsweise

Bereinigung unbenutzter Blöcke

Abhängig von Implementierung

Einfluss durch SSD-Auslastung

• Auswirkungen

Nicht zwingend vollständige Löschung

Datenwiederherstellung oft noch möglich

SSD Forensik

11

Security Forum 2015

F F

GC GC F F1. 2. 3.

PwC

Garbage CollectionLazy Garbage Collection

• Durchführung nur bei SSD Idle

• Kein Wissen über Dateisystem

• Kein Wissen über gelöschte Dateien

• Daten evtl. noch verfügbar

SSD Forensik

12

Security Forum 2015

PwC

Garbage CollectionFile Slack

• Kleinste schreibbare Einheit: 1 Page

• Kleinste löschbare Einheit: 1 Block

SSD Forensik

13

Security Forum 2015

Block File 1 Block File 1 Block File 1 & 2 Block File 2

PwC

TRIM CommandFunktionsweise & Auswirkungen

• Funktionsweise

OS informiert SSD über gelöschte Dateien

SSD erhält Informationen über ungenutzte Bereiche

Markierung der Bereiche für Garbage Collector

Löschen der entsprechenden Bereiche

• Auswirkungen

Vollständige Löschung von Dateien

Daten nicht wiederherstellbar

SSD Forensik

14

Security Forum 2015

PwC

TRIM CommandDRAT/DZAT

• Deterministic Read After Trim

Gelesene Daten immer gleich nach TRIM

Neubeschreibung ändert Daten

Möglicherweise Original-Daten

• Deterministic Read Zero After Trim

Immer Null-Bytes nach TRIM

SSD Forensik

15

Security Forum 2015

PwC

TRIM CommandBetriebssystem

• TRIM wird nicht von allen Betriebssystemen unterstützt

• Zusätzlich von Dateisystem (NTFS, Ext4,…) abhängig

SSD Forensik

16

Security Forum 2015

Betriebssystem Unterstützt ab

Microsoft Windows Windows 7 bzw. Windows Server 2008 R2

Linux Kernel 2.6.28

Mac OS X 10.6.8

FreeBSD 8.1

PwC

TRIM CommandAnschlüsse & Konfiguration

• Nicht alle Anschlüsse übertragen den TRIM-Command

• Unterstützt

SATA / eSATA

SCSI

PCI Express: ab Windows 8

• Nicht unterstützt

USB

RAID (mit Ausnahmen)

NAS (mit Ausnahmen)

SSD Forensik

17

Security Forum 2015

PwC

TRIM CommandKleine Dateien

• Speicherung in MFT

• Keine Garbage Collection

• Nur sehr kleine Dateien

• <900 Bytes

• Daten wiederherstellbar

SSD Forensik

18

Security Forum 2015

PwC

TRIM CommandKorrupte Systembereiche

• Beschädigte Partition Tables

• Beschädigte Dateisysteme

• TRIM-Command wird nicht ausgeführt

• Dateien leichter wiederherstellbar

SSD Forensik

19

Security Forum 2015

PwC

TRIM CommandBugs

• Firmware auf Controller

• Möglicherweise fehlerhaft

TRIM-Command

Over-Provisioning

Wear Leveling

…

SSD Forensik

20

Security Forum 2015

PwC

VerschlüsselungFunktionsweise & Auswirkungen

• Self Encrypting Drives

Hardware basierend

Full-Disk Encryption

Bereinigung durch Schlüsseltausch

• Tools

Vollständige Verschlüsselung

Verschlüsselung verwendeter Bereiche

SSD Forensik

21

Security Forum 2015

PwC

VerschlüsselungFolgen für Forensik

• Vollständige Verschlüsselung

Schlüssel notwendig

Evtl. Wiederherstellung gelöschter Dateien möglich

• Verschlüsselung verwendeter Bereiche

Rückschlüsse auf Datengröße möglich

Rückschlüsse auf Dateisystem möglich

SSD Forensik

22

Security Forum 2015

PwC

Secure EraseFunktionsweise & Auswirkungen

• Funktionsweise

Vollständiges Löschen der SSD

Spannungsspitze zum Zurücksetzen der Bits

• Auswirkungen

Daten nicht wiederherstellbar

Möglicherweise fehlerhaft

Anti-Forensik

SSD Forensik

23

Security Forum 2015

PwC

Ansätze

• Informationen sammeln

Host

OS

Verbindung

SSD-Hardware

• SSD nur unmittelbar vor Imaging einschalten

• USB3.0 WriteBlocker für Geschwindigkeitsgewinn

• Chip-Off-Forensik

nur mit Spezialkenntnissen und –hardware

• Keine offiziellen Best-Practice Ansätze von NIST, BSI,…

SSD Forensik

24

Security Forum 2015

PwC

Zusammenfassung

Statistiken

Zusammenfassung

Ausblick

Quellen

25

Security Forum 2015SSD Forensik

PwC

Statistiken

Random.small Random.large

NTFS Ext4 HFS+ NTFS Ext4 HFS+

TR

IM

Idle, Low 0,39% 100% 0,39% 0,55% 100% 0,58%

Idle, High 0,39% 100% 0,39% 0,47% 100% 0,50%

Activity, Low 0,39% 100% 0,39% 0,58% 100% 0,50%

Activity, High 0,39% 100% 0,39% 0,52% 100% 0,58%

No T

RIM

Idle, Low 100% 100% 100% 100% 100% 100%

Idle, High 100% 100% 100% 100% 100% 100%

Activity, Low 100% 100% 35,25% 100% 100% 100%

Activity, High 100% 0,39% 35,26% 100% 0,39% 100%

SSD Forensik

26

Security Forum 2015

• Diverse Testszenarien

• Prozent der wiederhergestellten Bytes nach einer Stunde

Quelle: Nisbet, Lawrence, Ruff: A Forensic Analysis and Comparison of Solid State Drive Retention With Trim Enable File Systems

PwC

Statistiken

SSD Forensik

27

Security Forum 2015

• Recovery nach Quick Format

Quelle: Bell, Boddington: Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?

Device 64 GB Corsair

P64 SSD

Files Recovered Description of recovered Files

1064 deleted

‘evidence’ text files

from the drive

604 File name and temporal metadata recovered and file partially

readable but could not be recovered as original text documents

460 File name and temporal metadata recovered but not readable

and could not be reconstituted as original text documents

An additional 26

deleted ‘evidence’ text

files were carved from

unallocated space

23 File name and temporal metadata recovered and file readable

but could not be reconstituted as original text documents

3 File name and temporal metadata recovered but not readable

and could not be reconstituted as original text documents

Total files recovered 1090 Compared to 316666 files present prior to quick format &

other experiment study period

PwC

Statistiken

SSD Forensik

28

Security Forum 2015

• Recovery nach 24 Stunden mit TRIM

• Recovery nach 16 Stunden ohne TRIM

Quelle: Bonetti, Viglione, Frossi, Maggi, Zanero: A Comprehensive Black-box Methodology for Testing the Forensic Characteristics of Solid-State Drives

SSD FS Files Recovered

Samsung S470 NTFS 0%

Ext4 0%

Corsair F60 NTFS 70,79%

Ext4 0%

Crucial M4 NTFS 0%

Ext4 0%

SSD Files Recovered

Samsung S470 100%

Corsair F60 100%

PwC

Statistiken

SSD Forensik

29

Security Forum 2015

• Recovery nach Durchführung diverser Überschreibungsmethoden

Quelle: Wei, Grupp, Spada, Swanson: Reliably Erasing Data From Flash-Based Solid State Drives

Overwrite Operation Data recovered

Filesystem delete 4,3 – 91,3%

Gutmann 0,8 – 4,3%

Gutmann “lite” 0,02 – 8,7%

US DoD 5220.22-M (7) 0,01 – 4,1%

RCMP TSSIT OPS-II 0,01 – 9,0%

Schneier 7 Pass 1,7 – 8,0%

German VSITR 5,3 – 5,7%

US DoD 5220.22-M (4) 5,6 – 6,5%

British HMG IS5 (Enh.) 4,3 – 7,6%

US Air Force 5020 5,8 – 7,3%

US Army AR380-19 6,91 – 7,07%

Russian GOST P50739-95 7,07 – 13,86%

British HMG IS5 (Base.) 6,3 – 58,3%

Pseudorandom Data 6,16 – 75,7%

Mac OS X Sec. Erase Trash 67%

PwC

Zusammenfassung & Ausblick

• Zusammenfassung

Kein einheitliches Rezept

Jede SSD kann sich anders verhalten

Herkömmliche Wege nicht mehr zielführend

Herkömmliche Wege keine Garantie für Datenintegrität

Viele Stolpersteine für Forensiker

• Ausblick

Evtl. Support von SSD-Herstellern

Bessere SSD-Forensik-Hardware

SSD Forensik

30

Security Forum 2015

PwC

Fragen

SSD Forensik

31

Security Forum 2015

?

PwC

Quellen

• Bell, Boddington: Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?

• Bonetti, Viglione, Frossi, Maggi, Zanero: A Comprehensive Black-Box Methodology for Testing theForensic Characteristics of Solid-State Drives

• Elcomsoft: SSD Evidence Acquisition and Crypto Containers

• Gubanov, Afonin: Why SSD Drives Destroy Court Evidence, and What Can Be Done About It

• Gubanov, Afonin: SSD Forensics 2014

• Nisbet, Lawrence, Ruff: A Forensic Analysis And Comparison of Solid State Drive Data Retention With Trim Enabled File Systems

• Wei, Grupp, Spada, Swanson: Reliably Erasing Data From Flash-Based Solid State Drives

SSD Forensik

32

Security Forum 2015

Kontakt

This publication has been prepared for general guidance on matters of interest only, and does

not constitute professional advice. You should not act upon the information contained in this

publication without obtaining specific professional advice. No representation or warranty

(express or implied) is given as to the accuracy or completeness of the information contained

in this publication, and, to the extent permitted by law, PwC Wirtschaftsprüfung GmbH, its

members, employees and agents do not accept or assume any liability, responsibility or duty of

care for any consequences of you or anyone else acting, or refraining to act, in reliance on the

information contained in this publication or for any decision based on it.

© 2015 PwC Wirtschaftsprüfung GmbH. All rights reserved. In this document, “PwC” refers to

PwC Wirtschaftsprüfung GmbH which is a member firm of PricewaterhouseCoopers

International Limited, each member firm of which is a separate legal entity.

Dr. Christian Kurz

Manager

Forensic Technology Solutions

christian.kurz@at.pwc.com

+43 699/163 050 47

Christoph Dulghier

Consultant

Forensic Technology Solutions

christoph.dulghier@at.pwc.com

+43 676/833 771 416